Cảnh báo lỗ hổng trên môi trường internet
10/05/2024 10:34 AM
Hiện tại bài viết chưa được cập nhật nội dung Âm thanh. Xin cảm ơn.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
Lỗ hổng zero-day bị khai thác
Chiến dịch tấn công mạng này có tên là ArcaneDoor, các tin tặc đã khai thác hai lỗ hổng bảo mật bao gồm CVE-2024-20353 (lỗ hổng từ chối dịch vụ) và CVE-2024-20359 (lỗ hổng thực thi mã), cho phép các tác nhân đe dọa triển khai phần mềm độc hại và duy trì sự tồn tại trên các thiết bị ASA và FTD bị xâm nhập.
Theo đó, những kẻ tấn công đang đã nhắm vào các lỗi phần mềm trong một số thiết bị chạy các sản phẩm ASA và FTD để phát tán phần mềm độc hại, từ đó để thực thi lệnh và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập.
Rà soát, cập nhật bản vá để khắc phục lỗ hổng nguy hiểm trên các sản phẩm của Cisco. Ảnh minh họa: Internet
Cisco biết đến chiến dịch ArcaneDoor vào đầu tháng 01/2024 và tìm thấy bằng chứng cho thấy những kẻ tấn công đã thử nghiệm và phát triển các hoạt động khai thác nhằm nhắm vào hai lỗ hổng zero-day ít nhất kể từ tháng 7/2023.
Một trong những phần mềm độc hại được sử dụng là Line Dancer, đây là trình tải shellcode trong bộ nhớ giúp phân phối và thực thi các payload shellcode tùy ý để vô hiệu hóa tính năng ghi nhật ký, cung cấp quyền truy cập từ xa và lọc các gói tin đã thu thập được.
Phần mềm độc hại thứ hai là backdoor Line Runner với nhiều kỹ thuật che dấu để tránh bị phát hiện bởi các giải pháp bảo mật, đồng thời cho phép kẻ tấn công chạy mã Lua tùy ý trên các hệ thống bị tấn công.
Cisco cho biết: “Các tin tặc đã sử dụng các công cụ độc hại riêng biệt để tập trung vào hoạt động VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
Trước đó vào tháng 3/2024, công ty cũng chia sẻ hướng dẫn về cách giảm thiểu các cuộc tấn công Password Spray nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.
Trung tâm CNTT
Lãnh đạo Ngành BHXH tặng sổ BHXH, thẻ BHYT cho ...
Tổng Giám đốc Nguyễn Thế Mạnh thăm, tặng quà, làm ...
BHXH Việt Nam quyên góp hỗ trợ đồng bào bị thiệt ...
Bổ sung quy định mức chi thù lao tổ chức dịch vụ thu đối ...
Nâng cao chất lượng công tác thi đua, khen thưởng ngành ...
BHXH tỉnh Lâm Đồng: Tích cực đẩy mạnh chuyển đổi số và ứng ...
Tập trung các nguồn lực cho công tác thu, giảm số chậm ...
BHXH tỉnh Đắk Nông: Đoàn kết, đồng thuận, quyết tâm về đích ...